安全性和用户体验
对于任何组织而言,安全性都至关重要,但在提高安全性和改善用户体验方面,您必须在两者之间实现权衡。例如,您的环境可能非常安全,但用户使用起来很困难。或者,您的环境可能具有良好的用户体验,但访问控制却不那么严格。本虚拟手册中的其他部分详细介绍了安全功能。本文的目的是概述常见的安全问题和 Citrix Endpoint Management 中可用的安全选项。
下面是针对每种用例需要谨记的一些主要注意事项:
- 您要保护某些应用程序的安全还是整个设备的安全?或者还是同时保护这两者的安全?
- 您希望您的用户如何进行身份验证?要使用 LDAP 还是基于证书的身份验证?或者还是组合使用这两者?
- 您希望用户的会话在超时之前持续多久?请谨记,后台服务、Citrix ADC 以及能够在脱机时访问应用程序的超时值不同。
- 是否希望用户设置设备级别通行码和应用程序级别通行码?您想允许多少次登录尝试?请谨记 MAM 可能会针对每个应用程序实施的其他身份验证要求,以及用户对这些要求可能存在的看法。
- 您还希望对用户实施其他哪些限制?是否要授予用户访问 Siri 等云服务的权限?他们可以在每个应用程序中使用您为其提供的哪些功能,以及不能使用哪些功能?您想要部署公司网络 (Wi-Fi) 策略以防止在办公室内使用蜂窝数据计划吗?
应用程序与设备
首先要考虑的事情之一是您是否想要保护以下对象的安全:
- 仅特定应用程序(移动应用程序管理或 MAM)
- 整个设备(移动设备管理或 MDM)。
- MDM+MAM
通常情况下,如果您不需要设备级别控制,则只需要管理移动应用程序,尤其是当贵组织支持自带设备 (BYOD) 时。
使用 Citrix Endpoint Management 无法管理的设备的用户可以通过应用商店安装应用程序。您可以通过应用程序策略控制对应用程序的访问,而不是通过设备级别控制,如选择性擦除或完全擦除。根据您设置的值,策略要求设备定期检查 Citrix Endpoint Management,以确认应用程序仍可以运行。
MDM 允许您保护整个设备的安全,包括对设备上的所有软件执行清单操作的能力。MDM 允许您在设备越狱、获得 root 权限或安装了不安全的软件时阻止注册。但是,采用此级别的控制会使用户极不愿意允许对其私人设备拥有太多控制权限,因此会降低注册率。
身份验证
身份验证对用户体验有很大的影响。如果贵组织已在运行 Active Directory,则使用 Active Directory 是您的用户访问系统的最简单方法。
身份验证用户体验的另一个重要方面是超时。高安全性环境可能会让用户在每次访问系统时登录。对于所有组织或用例来说,这种选择可能并不理想。
用户熵
要提高安全性,可以启用一项名为用户熵的功能。Citrix Secure Hub 和其他一些应用程序通常共享密码、个人识别码和证书等通用数据,以确保一切正常运行。这些信息存储在 Citrix Secure Hub 的通用保管库中。如果您通过“加密密钥”选项启用用户熵,则 Citrix Endpoint Management 会创建一个名为 UserEntropy 的保管库。Citrix Endpoint Management 将信息从通用保管库移到这个新保管库中。要让 Citrix Secure Hub 或其他应用程序访问数据,用户必须输入密码或 PIN。
启用用户熵将会在多个位置添加另一层身份验证。因此,无论何时应用程序需要访问 UserEntropy 保管库中的共享数据(包括密码、PIN 和证书),用户都必须进行身份验证。
您可以通过阅读关于 MDX Toolkit 来了解有关用户熵的更多信息。要启用用户熵,您可以在客户端属性中找到相关设置。
策略
MDX 和 MDM 策略都为组织提供了很大的灵活性,但也可以限制用户。在某些情况下,您可能希望具有该限制,但策略也会导致系统无法使用。例如,您可能希望阻止对可能会向外部位置发送敏感数据的云应用程序(例如 Siri 或 iCloud)进行访问。您可以设置一个策略来阻止访问这些服务,但请谨记,此类策略会导致发生意外结果。例如,iOS 键盘麦克风依赖于云访问。
应用程序
企业移动性管理 (EMM) 分为移动设备管理 (MDM) 和移动应用程序管理 (MAM)。虽然 MDM 使组织能够保护和控制移动设备,但 MAM 可简化应用程序的交付和管理。随着 BYOD 的采用率不断提高,您通常可以实施 MAM 解决方案,例如 Citrix Endpoint Management,以协助完成以下工作:
- 应用程序交付
- 软件授权
- 配置
- 应用程序生命周期管理
使用 Citrix Endpoint Management,您可以通过配置特定的 MAM 策略和 VPN 设置来提高这些应用程序的安全性,以防止数据泄露和其他安全威胁。Citrix Endpoint Management 使组织可以灵活地在同一个环境中同时使用 MDM 和 MAM 功能。
除了能够向移动设备交付应用程序外,Citrix Endpoint Management 还通过 MDX 技术提供应用程序容器化。MDX 通过加密来保护应用程序,加密与平台提供的设备级加密分开。可以擦除或锁定应用程序。应用程序受基于策略的精细控制。独立软件供应商 (ISV) 可以使用移动应用程序 SDK 应用这些控制。
在企业环境中,用户使用各种各样的移动应用程序来协助完成自己的工作职责。这些应用程序可能包括公共应用商店中的应用程序、内部开发的应用程序或本机应用程序。Citrix Endpoint Management 将这些应用程序分类如下:
公共应用商店: 这些应用程序包括公共应用商店(例如 Apple App Store 或 Google Play)中提供的免费或付费应用程序。组织外的供应商通常在公共应用商店中提供其应用程序。这种方式让其客户可以直接从 Internet 下载应用程序。根据用户的需求,您可能会在组织中使用许多公共应用程序。例如,GoToMeeting、Salesforce 和 EpicCare 应用程序属于此类应用程序。
Citrix 不支持直接从公共应用商店下载应用程序二进制文件,然后使用 MDX Toolkit 将其打包以进行企业分发。要启用 MDX 的第三方应用程序,请联系您的应用程序供应商获取应用程序二进制文件。可以使用 MDX Toolkit 封装二进制文件,也可以将 MAM SDK 与二进制文件集成。
内部应用程序: 许多组织都有内部开发人员,他们创建提供特定功能并在组织内独立开发和分发的应用程序。在某些情况下,一些组织可能还有 ISV 提供的应用程序。您可以将此类应用程序部署为本机应用程序,也可以使用 MAM 解决方案(例如 Citrix Endpoint Management)对应用程序进行容器化。例如,某医疗机构会创建一个内部应用程序,以允许医师在移动设备上查看患者信息。然后,组织可以启用 MAM SDK 或通过 MDM 封装应用程序,以保护患者信息的安全并启用对后端患者数据库服务器的 VPN 访问。
Web 和 SaaS 应用程序: 这些应用程序包括通过内部网络访问的应用程序(Web 应用程序)或通过公用网络访问的应用程序 (SaaS)。Citrix Endpoint Management 还允许您使用应用程序连接器列表创建定制网络和 SaaS 应用程序。这些应用程序连接器便于对现有 Web 应用程序进行单点登录 (SSO)。有关详细信息,请参阅应用程序连接器类型。例如,您可以使用基于安全声明标记语言 (SAML) 的 Google Apps SAML for SSO 登录 Google Apps。
移动办公应用程序: 移动办公应用程序是 Citrix 开发的应用程序,包含在 Citrix Endpoint Management 许可中。有关详细信息,请参阅关于移动生产力应用程序。Citrix 还提供其他 业务就绪型应用程序。ISV 通过使用移动应用程序 SDK 开发业务就绪型应用程序。
HDX 应用程序: HDX 应用程序是您通过 StoreFront 发布且由 Windows 托管的应用程序。如果您有 Citrix Virtual Apps and Desktops 环境,则可以将这些应用程序与 Citrix Endpoint Management 集成,使注册用户可以使用这些应用程序。
根据您计划使用 Citrix Endpoint Management 部署和管理的移动应用程序的类型,基础配置和架构会有所不同。假设许多具有不同权限级别的用户群使用单个应用程序。在这种情况下,您可以创建单独的交付组来部署应用程序的两个版本。确保用户组成员资格相互排斥,以避免用户设备上的策略不匹配。
您可能还想使用 Apple 批量购买来管理 iOS 应用程序的许可。此选项要求您注册 Apple 批量购买计划。而且,您必须使用 Citrix Endpoint Management 控制台来配置批量购买设置。该配置允许您使用批量购买许可证分发应用程序。各种此类用例使得在实施 Citrix Endpoint Management 环境之前评估和规划您的 MAM 策略非常重要。规划您的 MAM 策略时,您可以先明确以下各项:
应用程序类型: 列出您计划支持的不同类型的应用程序。然后,对应用程序进行分类,例如公共应用程序、本机应用程序、Citrix 移动生产力应用程序、Web 应用程序、内部应用程序和 ISV 应用程序。此外,还按不同的设备平台(例如 iOS 和 Android)对应用程序进行分类。此分类可帮助您调整每种类型应用程序所需的 Citrix Endpoint Management 设置。例如:某些应用程序可能不符合打包条件。或者,一些应用程序可能需要使用移动应用程序 SDK 来启用用于与其他应用程序进行交互的特殊 API。
网络要求: 通过适当的设置为应用程序配置特定的网络访问要求。例如,某些应用程序可能需要通过 VPN 访问您的内部网络。某些应用程序可能需要 Internet 访问权限才能通过 DMZ 对访问进行路由。为了允许此类应用程序连接到所需网络,您必须相应地配置各种设置。定义每应用程序网络的要求,以帮助您预先完成体系及结构决策。这项工作简化了总体执行进程。
安全要求: 定义适用于单个应用程序或所有应用程序的安全要求。某些设置(例如 MDX 策略)适用于单个应用程序。会话和身份验证设置适用于所有应用程序。某些应用程序可能具有特定的加密、容器化、封装、身份验证、地理围栏、通行码或数据共享要求。请提前概述这些要求,以简化部署。
部署要求: 您可能希望使用基于策略的部署以仅允许合规用户下载已发布的应用程序。例如,您可能希望某些应用程序要求:
- 基于设备平台的加密已启用
- 设备已托管
- 设备满足最低操作系统版本
- 某些应用程序仅适用于企业用户
请提前列出此类要求,以便您可以配置适当的部署规则或操作。
许可要求: 记录应用程序相关的许可要求。此类说明可帮助您有效管理许可使用情况,并决定是否需要在 Citrix Endpoint Management 中配置特定功能以促进许可。例如,如果部署免费或付费 iOS 应用程序,Apple 会通过让用户登录其 Apple Store 帐户来强制对该应用程序执行许可要求。您可以注册 Apple 批量购买,通过 Citrix Endpoint Management 分发和管理这些应用程序。批量购买允许用户下载应用程序,而无需登录他们的 Apple Store 帐户。此外,诸如 Samsung Knox 之类的工具有特殊的许可要求,您需要在部署这些功能之前完成这些要求。
允许列表和阻止列表要求: 您可能希望阻止用户安装或使用某些应用程序。创建使设备不合规的应用程序允许列表。然后,设置在设备不合规时触发的策略。另一方面,某个应用程序可能可以使用,但可能会出于某个原因而被列入阻止列表。在这种情况,可以将该应用程序添加到允许列表中,并指出该应用程序是可以使用的但不是必需的。此外,请谨记,预先安装在新设备上的应用程序可能包括一些不属于操作系统的常用应用程序。这些应用程序可能会与您的阻止列表策略相冲突。
应用程序用例
一家医疗机构计划部署 Citrix Endpoint Management 作为其移动应用程序的 MAM 解决方案。移动应用程序将交付给公司和自带设备用户。IT 决定交付和管理以下应用程序:
- 移动生产力应用程序: 由 Citrix 提供的 iOS 和 Android 应用程序。
- Citrix Files: 用于访问共享数据以及共享、同步和编辑文件的应用程序。
公共应用商店
- Citrix Secure Hub :所有移动设备都使用客户端与 Citrix Endpoint Management 进行通信。IT 通过 Citrix Secure Hub 客户端将安全设置、配置和移动应用程序推送到移动设备。Android 和 iOS 设备通过 Citrix Secure Hub 注册到 Citrix Endpoint Management。
- Citrix Workspace 应用程序: 允许用户打开 Citrix Virtual Apps 托管的移动设备应用程序的移动应用程序。
- GoToMeeting: 在线会议、桌面共享和视频会议客户端,让用户可以通过 Internet 实时与其他计算机用户、客户、客户端或同事联系。
- SalesForce1: SalesForce1 允许用户从移动设备访问 Salesforce,并将所有Chatter、CRM、自定义应用程序和业务流程集中在一起,以使 Salesforce 任何用户拥有统一的体验。
- RSA SecurID: 用于双重身份验证的基于软件的令牌。
-
EpicCare 应用程序: 这些应用程序让医疗工作人员可以安全便携地访问患者图表、患者列表、计划和消息。
- Haiku: 适用于 iPhone 和 Android 手机的移动应用程序。
- Canto: 适用于 iPad 的移动应用程序
- Rover: 适用于 iPhone 和 iPad 的移动应用程序。
HDX: Citrix Virtual Apps 将 HDX 应用程序交付到 Citrix Workspace。
- Epic Hyperspace: 用于电子病历管理的 Epic 客户端应用程序。
ISV
- Vocera: HIPAA 合规 VoIP 和消息传送移动应用程序,通过 iPhone 和 Android 智能手机随时随地扩展 Vocera 语音技术的优势。
内部应用程序
- HCMail: 该应用程序用于撰写加密邮件、在内部邮件服务器上搜索通讯簿以及使用电子邮件客户端将加密邮件发送给联系人。
内部 Web 应用程序
- PatientRounding: 该 Web 应用程序用于按不同的部门记录患者健康信息。
- Outlook Web Access: 允许通过 Web 浏览器访问电子邮件。
- SharePoint: 用于组织范围的文件和数据共享。
下表列出了 MAM 配置所需的基本信息。
| 应用程序名称 | 应用程序类型 | MDX 打包 | iOS | Android |
|---|---|---|---|---|
| Citrix Secure Mail | 移动生产力应用程序 | 版本 10.4.1 及更高版本不使用 | 是 | 是 |
| Citrix Secure Web | 移动生产力应用程序 | 版本 10.4.1 及更高版本不使用 | 是 | 是 |
| Citrix Files | 移动生产力应用程序 | 版本 10.4.1 及更高版本不使用 | 是 | 是 |
| Citrix Secure Hub | 公共应用程序 | 不适用 | 是 | 是 |
| Citrix Workspace 应用程序 | 公共应用程序 | 不适用 | 是 | 是 |
| GoToMeeting | 公共应用程序 | 不适用 | 是 | 是 |
| SalesForce1 | 公共应用程序 | 不适用 | 是 | 是 |
| RSA SecurID | 公共应用程序 | 不适用 | 是 | 是 |
| Epic Haiku | 公共应用程序 | 不适用 | 是 | 是 |
| Epic Canto | 公共应用程序 | 不适用 | 是 | 否 |
| Epic Rover | 公共应用程序 | 不适用 | 是 | 否 |
| Epic Hyperspace | HDX 应用程序 | 不适用 | 是 | 是 |
| Vocera | ISV 应用程序 | 是 | 是 | 是 |
| HCMail | 内部应用程序 | 是 | 是 | 是 |
| PatientRounding | Web 应用程序 | 不适用 | 是 | 是 |
| Outlook Web Access | Web 应用程序 | 不适用 | 是 | 是 |
| SharePoint | Web 应用程序 | 不适用 | 是 | 是 |
下表列出了在 Citrix Endpoint Management 中配置 MAM 策略时可以参考的特定要求。
| 应用程序名称 | 需要 VPN | (与容器外部的应用程序)交互 | 交互(来自容器之外的应用程序) | 基于设备平台的加密 |
|---|---|---|---|---|
| Citrix Secure Mail | Y | 选择性允许 | 允许 | 不需要 |
| Citrix Secure Web | Y | 允许 | 允许 | 不需要 |
| Citrix Files | Y | 允许 | 允许 | 不需要 |
| Citrix Secure Hub | Y | 不适用 | 不适用 | 不适用 |
| Citrix Workspace 应用程序 | Y | 不适用 | 不适用 | 不适用 |
| GoToMeeting | N | 不适用 | 不适用 | 不适用 |
| SalesForce1 | N | 不适用 | 不适用 | 不适用 |
| RSA SecurID | N | 不适用 | 不适用 | 不适用 |
| Epic Haiku | Y | 不适用 | 不适用 | 不适用 |
| Epic Canto | Y | 不适用 | 不适用 | 不适用 |
| Epic Rover | Y | 不适用 | 不适用 | 不适用 |
| Epic Hyperspace | Y | 不适用 | 不适用 | 不适用 |
| Vocera | Y | 已阻止 | 已阻止 | 不需要 |
| HCMail | Y | 已阻止 | 已阻止 | 必需 |
| PatientRounding | Y | 不适用 | 不适用 | 必需 |
| Outlook Web Access | Y | 不适用 | 不适用 | 不需要 |
| SharePoint | Y | 不适用 | 不适用 | 不需要 |
| 应用程序名称 | 代理过滤 | 许可 | 地理围栏 | 移动应用程序 SDK | 最低操作系统版本 |
|---|---|---|---|---|---|
| Citrix Secure Mail | 必需 | 不适用 | 选择性必需 | 不适用 | 强制执行 |
| Citrix Secure Web | 必需 | 不适用 | 不需要 | 不适用 | 强制执行 |
| Secure Notes | 必需 | 不适用 | 不需要 | 不适用 | 强制执行 |
| Citrix Files | 必需 | 不适用 | 不需要 | 不适用 | 强制执行 |
| Citrix Secure Hub | 不需要 | 批量购买 | 不需要 | 不适用 | 不强制执行 |
| Citrix Workspace 应用程序 | 不需要 | 批量购买 | 不需要 | 不适用 | 不强制执行 |
| GoToMeeting | 不需要 | 批量购买 | 不需要 | 不适用 | 不强制执行 |
| SalesForce1 | 不需要 | 批量购买 | 不需要 | 不适用 | 不强制执行 |
| RSA SecurID | 不需要 | 批量购买 | 不需要 | 不适用 | 不强制执行 |
| Epic Haiku | 不需要 | 批量购买 | 不需要 | 不适用 | 不强制执行 |
| Epic Canto | 不需要 | 批量购买 | 不需要 | 不适用 | 不强制执行 |
| Epic Rover | 不需要 | 批量购买 | 不需要 | 不适用 | 不强制执行 |
| Epic Hyperspace | 不需要 | 不适用 | 不需要 | 不适用 | 不强制执行 |
| Vocera | 必需 | 不适用 | 必需 | 必需 | 强制执行 |
| HCMail | 必需 | 不适用 | 必需 | 必需 | 强制执行 |
| PatientRound-ing | 必需 | 不适用 | 不需要 | 不适用 | 不强制执行 |
| Outlook Web Access | 必需 | 不适用 | 不需要 | 不适用 | 不强制执行 |
| SharePoint | 必需 | 不适用 | 不需要 | 不适用 | 不强制执行 |
用户社区
每个组织都由多个以不同的功能角色运作的用户社区组成。这些用户社区使用您通过用户设备提供的各种资源执行不同的任务和办公功能。用户可能会使用您提供的移动设备在家中或远程办公室工作。或者,用户可能拥有自己的移动设备,这允许他们访问受某些安全合规规则约束的工具。
随着越来越多的用户社区开始在其工作角色中使用移动设备,企业移动管理 (EMM) 对于防止数据泄露变得至关重要。EMM 对于实施组织的安全限制也是至关重要的。为了更高效、更复杂的移动设备管理,您可以对用户社区进行分类。这样可以简化将用户映射到资源的过程,并将适当的安全策略与用户保持一致。
以下示例说明了如何对医疗机构的用户社区进行分类以实现 EMM。
用户社区用例
这个示例医疗保健组织为许多用户提供技术资源和访问权限,包括网络和附属机构的员工和志愿者。此机构已选择仅向非执行用户推出 EMM 解决方案。
此机构的用户角色和功能可以划分为几个子组,包括:临床、非临床和合同工。选定的用户将收到企业移动设备,而其他用户可以从其私人设备访问有限的公司资源。要强制执行正确的安全限制级别以及防止数据泄漏,此机构决定企业 IT 负责管理注册的每个设备。这些设备可能是公司拥有的设备,也可能是自带设备 (BYOD)。此外,用户只能注册一个设备。
下面的部分概述了每个子组的角色和功能:
临床
- 护士
- 医师(医生、外科医生等)
- 专家(营养学家、麻醉师、放射科医师、心脏病专家、肿瘤学家等)
- 外部医师(从远程办公室工作的非雇员医师和办公室工作人员)
- 家庭健康服务(为患者家访提供医生服务的办公室和移动工作人员)
- 研究专家(六个研究机构的知识工作者和超级用户,他们正在进行临床研究,以寻找医学问题的答案)
- 教育和培训(护士、医师以及教育和培训专家)
非临床
- 共享服务(执行各种后台职能的办公室工作人员,包括人力资源、薪资、应付账款和供应链服务)
- 医生服务(为提供商提供各种医疗保健管理、行政服务和业务流程解决方案的办公室工作人员,包括:行政服务、分析和商业智能、业务系统、客户服务、财务、管理式医疗管理、患者准入解决方案、收入周期解决方案等)
- 支持服务(从事各种非临床职能的办公室工作人员,包括:福利管理、临床整合、沟通、薪酬和绩效管理、设施和财产服务、人力资源技术系统、信息服务、内部审核和流程改进等)
- 慈善计划(履行各种职能以支持慈善计划的办公室和移动工作人员)
合同工
- 制造商和供应商合作伙伴(通过站点到站点 VPN 现场连接和远程连接,提供各种非临床支持功能)
根据上述信息,此机构创建了以下实体。 有关 Citrix Endpoint Management 中交付组的更多信息,请参阅部署资源。
Active Directory 组织单位 (OU) 和组
对于 OU = Citrix Endpoint Management 资源:
- OU = 临床;组 =
- XM-护士
- XM-医师
- XM-专家
- XM-外部医师
- XM-家庭医疗服务
- XM-研究专家
- XM-教育和培训
- OU = 非临床;组 =
- XM-共享服务
- XM-医师服务
- XM-支持服务
- XM-慈善活动
Citrix Endpoint Management 本地用户和组
针对组= 合同工,用户 =
- Vendor1
- Vendor2
- 供应商 3
- … 供应商 10
Citrix Endpoint Management 交付组
- 临床-护士
- 临床-医师
- 临床-专家
- 临床-外部医师
- 临床-家庭医疗服务
- 临床-研究专家
- 临床-教育和培训
- 非临床-共享服务
- 非临床-医师服务
- 非临床-支持服务
- 非临床-慈善活动
交付组和用户组映射
| Active Directory 组 | Citrix Endpoint Management 交付组 |
|---|---|
| XM-护士 | 临床-护士 |
| XM-医师 | 临床-医师 |
| XM-专家 | 临床-专家 |
| XM-外部医师 | 临床-外部医师 |
| XM-家庭医疗服务 | 临床-家庭医疗服务 |
| XM-研究专家 | 临床-研究专家 |
| XM-教育和培训 | 临床-教育和培训 |
| XM-共享服务 | 非临床-共享服务 |
| XM-医师服务 | 非临床-医师服务 |
| XM-支持服务 | 非临床-支持服务 |
| XM-慈善活动 | 非临床-慈善活动 |
交付组和资源映射
以下各表列出了分配给此用例中每个交付组的资源。第一个表显示了移动应用程序分配。第二个表显示了公共应用程序、HDX 应用程序和设备管理资源。
| Citrix Endpoint Management 交付组 | Citrix 移动应用程序 | 公共移动应用程序 | HDX 移动应用程序 |
|---|---|---|---|
| 临床-护士 | X | ||
| 临床-医师 | |||
| 临床-专家 | |||
| 临床-外部医师 | X | ||
| 临床-家庭医疗服务 | X | ||
| 临床-研究专家 | X | ||
| 临床-教育和培训 | X | X | |
| 非临床-共享服务 | X | X | |
| 非临床-医师服务 | X | X | |
| 非临床-支持服务 | X | X | X |
| 非临床-慈善活动 | X | X | X |
| 合同工 | X | X | X |
| Citrix Endpoint Management 交付组 | 公共应用程序:RSA SecurID | 公共应用程序:EpicCare Haiku | HDX 应用程序:Epic Hyperspace | 通行码策略 | 设备限制 | 自动化操作 | 网络策略 |
|---|---|---|---|---|---|---|---|
| 临床-护士 | X | ||||||
| 临床-医师 | X | ||||||
| 临床-专家 | |||||||
| 临床-外部医师 | |||||||
| 临床-家庭医疗服务 | |||||||
| 临床-研究专家 | |||||||
| 临床-教育和培训 | X | X | |||||
| 非临床-共享服务 | X | X | |||||
| 非临床-医师服务 | X | X | |||||
| 非临床-支持服务 | X | X |
备注和注意事项
- Citrix Endpoint Management 在初始配置期间会创建一个名为“所有用户”的默认交付组。如果您不禁用此交付组,则所有 Active Directory 用户都有权注册到 Citrix Endpoint Management。
- Citrix Endpoint Management 使用与 LDAP 服务器的动态连接按需同步 Active Directory 用户和组。
- 如果用户属于未在 Citrix Endpoint Management 中映射的组,则该用户无法注册。同样,如果用户是多个组的成员,Citrix Endpoint Management 仅将该用户归类为映射到 Citrix Endpoint Management 的组的一部分。
安全要求
与 Citrix Endpoint Management 环境相关的安全考虑范围可能很快就会变得让人不知所措。有许多连锁件和设置。您可能不知道从哪里开始,也不知道该选择什么来确保提供可接受的保护级别。为了简化这些选择,Citrix 提供了有关高安全性、较高安全性和最高安全性的建议,如下表中所述。
安全问题并不是您的设备注册模式的唯一考虑因素:MAM、MDM+MAM(MDM 可选)或 MDM+MAM(MDM 必选)。此外,务必要查看用例的要求,并确定是否可以在选择管理模式之前缓解安全问题。
高: 使用这些设置可提供最佳的用户体验,同时保持大多数组织可接受的基本安全级别。
较高: 这些设置在安全性和可用性之间建立更加稳健的权衡。
最高: 遵循这些建议,安全级别非常高,但可用性和用户采用率会降低。
管理模式安全注意事项
下表列出了实现每种安全级别的管理模式。
| 高安全性 | 更高的安全性 | 最高安全性 |
|---|---|---|
| MAM、MDM+MAM | MDM+MAM | MDM+MAM |
备注:
- 根据用例,仅 MAM 部署可以满足安全要求,并提供良好的用户体验。
- 对通过应用程序容器化即可满足所有业务和安全要求的用例(例如 BYOD),Citrix 建议采用仅 MAM 模式。
- 对于高安全性环境 (和公司发放的设备),Citrix 建议采用 MDM+MAM 以充分利用可用的所有安全功能。
Citrix ADC 和 NetScaler Gateway 安全注意事项
下表指定了每个安全级别的 Citrix ADC 和 NetScaler Gateway 建议。
| 高安全性 | 更高的安全性 | 最高安全性 |
|---|---|---|
| 推荐使用 Citrix ADC。MAM 和 MDM+MAM 需要 NetScaler Gateway | 如果 Citrix Endpoint Management 位于 DMZ 中,则使用 SSL 桥接配置 XenMobile 向导的标准 NetScaler。 | SSL 卸载与端到端加密 |
备注:
- 通过 NAT 或现有第三方代理/负载平衡器将 Citrix Endpoint Management 服务器暴露给互联网可能是 MDM 的一种选择。但是,在这种情况下,SSL 流量在 Citrix Endpoint Management 服务器上终止,这构成了潜在的安全风险。
- 对于高度安全的环境,采用默认 Citrix Endpoint Management 配置的 NetScaler Gateway 通常满足或超过安全要求。
- 对于具有最高安全需求的 MDM 注册,NetScaler Gateway 的 SSL 终止使您能够检查外围流量,同时保持端到端 SSL 加密。
- 用于定义 SSL/TLS 密码的选项。
- 有关详细信息,请参阅与 NetScaler Gateway 和 Citrix ADC 集成。
注册安全注意事项
下表指定了每个安全级别的 Citrix ADC 和 NetScaler Gateway 建议。
| 高安全性 | 更高的安全性 | 最高安全性 |
|---|---|---|
| 仅限 Active Directory 组成员身份。禁用“所有用户”交付组。 | 仅限邀请的注册安全模式。仅限 Active Directory 组成员身份。禁用“所有用户”交付组 | 注册安全模式关联到设备 ID。仅限 Active Directory 组成员身份。禁用“所有用户”交付组 |
备注:
- Citrix 通常建议只允许预定义的 Active Directory 组中的用户进行注册。此限制需要禁用内置的“所有用户”交付组。
- 您可以使用注册邀请来限制收到邀请的用户才可以注册。注册邀请不适用于 Windows 设备。
- 您可以使用一次性 PIN (OTP) 注册邀请作为双重身份验证解决方案以及控制用户可以注册的设备数。(OTP 邀请不适用于 Windows 设备。)
设备通行码安全注意事项
下表列出了针对每种安全级别的设备通行码建议。
| 高安全性 | 更高的安全性 | 最高安全性 |
|---|---|---|
| 推荐。设备级别加密要求高安全性。可以通过 MDM 强制要求。可以通过使用 MDX 策略(不合规的设备行为)来设置仅限 MAM 的要求。 | 使用 MDM、MAM 或 MDM+MAM 策略强制执行。 | 通过使用 MDM 和 MDX 策略强制要求。MDM 复杂通行码策略。 |
备注:
- Citrix 建议使用设备通行码。
- 可以通过 MDM 策略强制要求输入设备通行码。
- 您可以使用 MDX 策略将设备通行码作为使用托管应用程序的要求;例如,对于 BYOD 使用案例。
- Citrix 建议组合使用 MDM 和 MDX 策略选项来提高 MDM+MAM 注册的安全性。
- 对于具有最高安全性要求的环境,可以配置复杂通行码策略,并通过 MDM 强制实施这些策略。您可以配置自动操作,在设备不遵守密码政策时通知管理员或发出选择性/全部设备擦除命令。